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SERVERUBERWACHUNG 



Die vorliegende Erfindung liegt auf dem Gebiet der Netzwerk-, resp. Internettech- 
nologie. Die Aufgabe wird durch die in den Patentanspriichen defmierte Erfindung 
gelost. 

Heute hat sich besonders das Internet als weltweites Kommunikationsmittel etabliert 
5 Die Qualitat der angebotenen Dienste spielt daher eine wesentliche Rolle. Firmen die 
auf dem Internet ihre Dienstleistungen anbieten, haben ein grosses Interesse, dass 
ihre Server einwandfrei funktionieren und dass unberechtigte Zugriffe fhihzeitig er- 
kannt und Massnahmen ergriffen werden konnen. Eine Uberwachung dieser Dienste 
ist bis heute nicht bekannt. Aus diesem Grund werden viele auf dem Internet ange- 

10 botene Dienstleistung nicht oder ungenugend in Anspruch genommen. Die Dienste 
weisen haufig ungenugende Qualitat (zu lange Antwortzeiten, usw.) auf, was die 
potentiellen Benutzer davon abhalt. Unberechtigte Zugriffe und Veranderungen wer- 
den in der Regel nur sehr schlecht und mit Verzogerung erkannt. Dies fuhrt dazu, 
dass schadliche Software wie Viren, usw. sich unbemerkt uber langere Zeitraume 

15 ausbreiten konnen. Schaden weltweit in Milliardenhohe sind keine Seltenheit. 



Es ist Aufgabe der vorliegenden Erfindung ein Verfahren zur Ausfuhrung von Plu- 
gins zu zeigen; insbesondere zur Uberwachung von Netzwerken, Internetdienstlei- 
stungen und Servern. 
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Die Idee der hier offenbarten Erfindung basiert u.a. darauf, eine Proxy-Server Unter- 
stiitzung des Internet HTTP-Protokolls zum Zweck der automatischen Aufzeichnung 
und der spateren automatischen Wiederabspielung eines Datenverkehrs von einem 
oder mehreren HTTP-Clients (z.B. Web-Browsern), die mit einem HTTP-Server 
5 oder HTTP-Proxy-Server kommunizieren, zu verwenden. Vorzugsweise referentiell 
aufgezeichnete Daten werden dabei in einer Form gespeichert, die es erlaubt den 
vollstandigen Datenverkehr der vom Client und vom Server generiert wird (Re- 
quests), zu einem spateren, bestimmbaren Zeitpunkt automatisch und beliebig oft, 
insb. von verschiedenen geographischen Orten aus und unter Einhaltung von defi- 

10 nierten Kriterien zu wiederholen, zu uberwachen und auszuwerten. Der Vorgang 
erfolgt in der Regel ohne Zutun des urspriinglichen, generierenden Clients. Bei der 
Aufzeichnung eines Datenverkehrs werden ublicher Weise auch die Antwort-Daten 
des Servers (Responses) ganz oder teilweise aufgezeichnet. Dadurch ist es erstmals 
moglich, dass bei einer spateren Anwendung der aufgezeichneten Client-Requests 

15 kontrolliert werden kann, ob der Server analoge, gleichbleibende Daten liefert, oder 
ob er von einer defmierten Norm abweicht. Dies spielt zur periodischen Uberwa- 
chung von unberechtigten ZugrifFen eine relevante Rolle. 

Im Zusammenhang mit der Uberwachung z.B. von Viren wird bei Bedarf anstelle 
einer meist erfolglosen Suche nach schadlichen Programmer!, die Information peri- 
20 odisch mit gesicherten und vertrauenswurdigen Referenzdaten (von einem oder meh- 
reren entfernten Standpunkten aus) verglichen. Eine entsprechender Vergleich liefert 
aussagekraftige Daten mit minimalem Aufwand. So ist es z.B. moglich, dass eine 

Firma entsprechende Dienste anbietet indem Sie Referenzdaten von einzelnen Ser- 

< *^ 

vern periodisch mit deren momentanen Verhalten, z.B. zwecks Qualitatssicherung, 
25 vergleicht und uberwacht. Bei Bedarf werden die Antwortzeiten des Servers aufgV- 
zeichnet. Die Uberwachung erfolgt vorteilhafter Weise von verschiedenen^gepgrafi- 
schen Orten aus, derart, dass eine Uberwachung uber mehrere Kanale erfolgt. Damit 
ist es zudem moglich die Performance und Abweichungen derselben von definierba- 
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ren Grenzwerten (insb. uber unterschiedliche Wege) zu vergleichen und auszuwer- 
ten. Entsprechend Alarmmeldungen werden falls erforderlich abgesetzt. 

Der Inhalt des Datenverkehrs uber ein gewahltes Protokoll (bspw. HTTP) spielt beim 
hier beschriebenen Verfahren eine eher untergeordnete Rolle, d.h. es konnen samtli- 
5 che Inhalte aufgezeichnet und wieder abgespielt werden, auch wenn diese z.B. In- 
halte von hoher liegenden Protokollen, wie z.B. JavaScript oder SSL, betreffen. 
Weitere Anwendungsbeispiele des hier beschriebenen Verfahrens sind, z.B. das Auf- 
zeichnen von interaktiven Webbrowser Surfsessions. Dabei ist es vorteilhaft eine 
Referenz-Session aus einer oder mehreren Sessions zu generieren. Eine Auswertung 

10 und ein spateres Anwenden dieser Surf-Sessions z.B. in Form von Last-Test- 
Routinen dient der referentiellen Uberwachung und der Kontrolle von unberechtigten 
ZugrifFen, so wie der Performancemessung. Insbesondere wird auch die Verfugbar- 
keit des Servers uberwacht, um Hardwaredefekte oder Abstiirze zu iibenvachen. Ein 
Vergleich der referenzierten (aufgezeichneten) Server-Antwortdaten mit dem bei 

15 einer Anwendung derselben auf einen Server, insb. uber mehrere Kanale oder Pfade 
generierten Datenverkehr wird bevorzugt als Mechanismus zur Erkennung von Mo- 
difikationen des Dateninhalts des Servers sowie zur ortsabhangigen Performance- 
messung eingesetzt. Illegale Zugriffe und Veranderungen werden damit zuverlassig 
und schnell erkannt. 

20 Normalerweise sind die z.B. im heute weit verbreiteten HTTP-Protokoll vorgesehe- 
nen Einsatzzwecke von Proxy-Servern u.a. die folgenden: Zwischenspeichern von 
Daten, zum Zweck der Verkurzung der Antwortzeiten; Protokollierung und Aus- 
wertung des Datenverkehrs zwischen Client und Server, im Hinblick auf die Kon- 
trolle des Surf-Verhaltens individueller naturlicher Personen (Beobachtung und 

25 . Kontrolle der Person, Unterdriickung unerwiinschter Websites etc.); Unterbindung 
der direkten Verbindung einzelner Computer von Endbenutzern mit dem Internet aus 
Sicherheitsgriinden. Die hier offenbarte Erfindung basiert in entfernter Weise auf der 
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Funktionalitat eines Proxy-Servers auf Im Unterschied hierzu wird die eigentliche 
Hauptfiinktion eines herkommlichen Proxy-Servers dabei nicht oder nur in neben- 
sachlicher Weise verwendet. Die hier ofFenbarte Erfindung weist zu einem her- 
kommlichen Proxy-Server u.a. die folgenden Unterschiede auf: 



5 • Damit alle Dateninhalte zwischen Client und Server werden (zeitlich) kompakt 
aufgezeichnet werden konnen, werden bei der Erfindung samtliche Cache- Me- 
chanismen (sowohl des normalen HTTP-Protokolls sowie auch des HTTP -Proxy- 
Protokolls, insb. der direkt dargestellten und der vom Client ausgefiihrten Refe- 
renzen) ausser Acht gelassen (bei Bedarf kann eine Verwendung vorgesehen 
10 werden) oder unterdriickt. Die Erfindung erfordert daher in der Kegel keinen ei- 

genen Cache. 



• Insbesondere werden gezielt alle Informationen des Clients an den Server und 
des Servers an den Client uber Cache-Moglichkeiten unterdriickt, um zu errei- 
chen, dass alle relevanten Daten ubermittelt werden. 



15 Die Erfindung weist Mittel zur Aufzeichnung auf. Mit eigens dafiir vorgesehenen 
Schnittstellen werden diese Mittel gesteuert ("Start Record"). In diesem Zustand 
werden alle Requests/Responses in einer definierten Datenstruktur gespeichert so, 
dass der Verlauf derselben zu einem spateren Zeitpunkt mit entsprechenden Mittel 
(beispielsweise einer entsprechend programmierten Maschine) nachvollzogen wer- 

20 den konnen. Die z.B. referential aufgezeichneten Daten werden mit Vorteil in einer 
entsprechenden Bibliothek angelegt. 



Aus den aufgezeichneten Daten werden bei Bedarf automatisch oder manuell erfin- 
dungsgemasse Plugins erzeugt (vgl. hierzu weiter unten), die uber erfindungsgema- 
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sse Mittel, z.B. Sonden (vgl. hierzu weiter unten), ausfuhrbar sind, derart dass insb. 
von unterschiedlichen Orten aus der selbe Test gleichzeitig durchfuhrbar ist. Damit 
ist es moglich einen Server mit verschiedenen oder mehrere Server mit speziellen 
Referenzdaten zu uberwachen. Die Erfindung lasst sich auf nur einen Client gezielt 
5 oder aber auf alle Clients anwenden. Bei Clients mit einer separaten Aufzeichnung 
wird vorteilhafter Weise vom Client eine HTTP-Authentification verlangt. Diese 
kann bei jedem Request eines Clients danach dazu benutzt werden, um die Aufzeich- 
nungsdaten der einzelnen Clients einzeln zu fiihren. 

Es versteht sich von selber, dass die Erfindung falls erforderlich auch HTTR ( zu 
10 HTTPS (SSL) Konvertierungen bzw. hoher liegende Protokolle unterstiitzen kann. 
Beispielsweise konnen, zum Aufzeichnen von HTTPS-Abfragen, vom Client unver- 
schliisselte Anfragen an den Server gemacht werden. Diese unverschlusselten Anfra- 
gen werden dann erst durch die Erfindung verschlusselt und an den Server weiterge- 
leitet. Die Antwort wird wiederum durch die Erfindung entschlusselt und an den Cli- 
15 ent zuriick geleitet. Dabei ist es besonders vorteilhaft, dass das SSL-Protokoll durch 
die Erfindung entschlusselt wird und nicht erst durch den Client. Dadurch ist es 
moglich, den Datenaustausch zwischen Client und Server auch bei einer Verschlus- 
selung aufzuzeichnen. Hoherliegende Protokolle werden zum Zweck der Aufzeich- 
nung/Uberwachung gezielt aufgebrochen, indem Anstelle eines vorgesehen Tunnel- 
20 ling-Verfahrens eine Client-Server-Client-Server Verfahren vorgesehen wird. 

Aus dem Stand der Technik sind Plugins bekannt. Plugins sind typischerweise uni- 
versell einsetzbare Programme, die darauf spezialisiert sind, irgendeine Funktion 
auszufuhren. Um ein Plugin zu aktivieren ist eine entsprechende Plugin-Schnittstelle 
erforderlich. Bei Java-Programmen beispielsweise erfolgt dies uber ein entsprechen- 
25 des Interface. In der Regel ist es so, dass ein Plugin aufgrund einer Anfrage bzw. 
eines Bedarfs eines Programms geladen wird (z.B. von einem Web-Browser). So- 
wohl bei CORBA als auch bei RMI (Java Remote Method Invocation) werden aber, 
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im Unterschied zur hier offenbarten Erfindung, nur Daten, bzw. Variablen ausge- 
tauscht, es wird jedoch kein Programmcode ubermittelt. Bei den erfindungsgemassen 
Plugins wird im Unterschied zum Stand der Technik typischerweise der Programm- 
Code ubertragen, Bei konventionellen Plugins geht zudem der Anreiz zum Laden 
5 eines Plugins immer von dem Ort aus, an dem das Plugin auch ausgefuhrt wird (von 
innen). Bei erfindungsgemassen Plugins kommt dieser Anreiz jedoch von einem an- 
deren Ort, also typischerweise von aussen. 



Die erfindungsgemassen Plugins funktionieren vorteilhafter Weise wie folgt: An 
einem ersten Ort (Ausgangsort) wird zu einem bestimmten Zeitpunkt veranlasst, dass 

10 ein Plugin an einem zweiten Ort (Zielort) mittels einem geeigneten Mittel ausgefuhrt 
werden soli. Das Plugin wird darauf an den zweiten Ort (Zielort) mit einer AufForde- 
rung zur Ausfuhrung ubertragen. Das Resultat besteht also darin, dass am zweiten 
Ort (Zielort) ein Plugin ausgefuhrt wird welches z.B. ein Resultat an den ersten Ort 
(Ausgangsort) zuriickgemeldet. Einzige Anforderung am zweiten Ort (Zielort) ist, 

15 dass erfindungsgemasse Plugins empfangbar, resp. ausfuhrbar (= „anspringen") sind. 
Es ist nicht erforderlich, dass der Zielort iiber den Inhalt des erfindungsgemassen 
Plugins etwas weiss. Aus Sicherheits-Griinden kann aber ein erfindungsgemasses 
Plugin am Zielort gewissen, von aussen sicht- oder unsichtbaren Beschrankungen 
unterliegen. So kann z.B. festgelegt werden, dass ein erfindungsgemasses Plugin eine 

20 bestimmte Ausfuhrungszeit nicht uberschreiten darf, etc. Wird eine Verletzung einer 
entsprechenden Beschrankungen registriert, so werden entsprechende Massnahmen 
ergriffen, indem beispielsweise die Ausfuhrung abgebrochen wird (d.h. das Plugin 
wird „getdtet"). Bei einer Realisierung von erfindungsgemassen Plugins, bspw. mit- 
tels der Programmiersprache "Java", wird mittels eines speziellen Class-Loaders am 

25 Zielort „auf Befehl" bestimmte Plugins als "Class" geladen. Anschliessend wird da- 
von eine "Instanz" erzeugt, welche dann z.B. iiber ein Plugin-Interface aufgerufen 
wird. 
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Die erfindungsgemassen Plugins werden in der Regel automatisch mittels einer er- 
findungsgemassen Anordnung erzeugt. Dabei werden in der Regel interaktiv gene- 
rierte Daten z.B. von Surfsessions verwendet. Bei den generierten Plugins handelt es 
sich typischerweise um ausfuhrbaren Programmcode. Ein wesentlicher Unterschied 
5 zum Stand der Technik besteht u.a. darin, dass die erfindungsgemassen Plugins in 
der Regel automatisch generiert werden. Ein erfindungsgemasser Recorder, der u.a. 
zur Erzeugung von Plugins dient, hat vorteilhafter Weise ein Web-Interface in der 
Art, dass auch ein technisch nicht versierter Benutzer z.B. eine Surfsession aufeeich- 
nen kann, um diese danach in die zentrale Datenbank von Testanordnungen einzu- 
10 bringen, resp. diese als Plugin zu erstellen. Diese Surfsession steht ab dann zur Ver- 
fugung um Tests jeglicher Art in periodischen oder willkurlichen Zeitintervallen z.B. 
durch Sonden auszufiihren. Diese bewusste End-User-Funktionalitat, die derart kon- 
zipiert ist, dass sie ohne technisches Wissen bedienbar ist, bietet zusatzliche Vorteile. 

Die Erfindung wird anhand der folgenden Figur naher erlautert. Diese zeigt schema- 
15 tisch ein Netzwerk mit Sonden und einem zentralen Dienst. 

Figur 1 zeigt eine vorteilhafte Ausfuhrungsform der Erfindung. Ein erfindungsge- 
masses Uberwachungssystem 1 uberwacht uber ein Netzwerk (Inter-/Intranet) 2, bei 
Bedarf von verschiedenen Punkten 3.1, 3.2, 3.3 aus, beliebige Services von einem 
Host 4 mit Hilfe eines zentralen Dienstes, der bevorzugt mittels einem zentralen Sy- 

20 stem 5 betrieben wird. Test-Konfigurationen, Test-Programme, beispielsweise in 
Form von erfindungsgemassen Plugins, und auch Test-Resultate werden bevorzugt in 
einer Datenbank gespeichert, die sich hier im Bereich des zentralen Systems 5 befin- 
det. Auf dem zentralen System 5 lauft ein Programm, welches vorbestimmte oder 
zufallige Testkonfigurationen periodisch und oder aperiodisch, z.B. zu Uberwa- 

25 chungszwecken, oder einmalig uber viele Instanzen/Kanale 10.1, 10.2, 10.3 parallel, 
z.B. als Lasttest, zur Ausfuhrung bringt. Das zentrale System 5 fuhrt jedoch diese 
Tests in der Regel nicht selbst aus, sondern ubermittelt Test-Programme und Test- 
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Konfigurationen an eigens dafur vorgesehene Mittel, hier Sonden (Computer) 11.1, 
11.2, 11.3. Diese befinden sich vorzugsweise ortlich getrennt in einem Netzwerk 2, 
z.B. bei Providern, in einem Rechenzentrum, usw. In der Regel geschieht die Uber- 
mittlung gleichzeitig an mehrere Sonden (schematisch durch Pfeile 13.1, 13.2, 13.3 
dargestellt). Diese fiihren einen oder mehrere Tests aus und ubermitteln ortsabhangi- 
ge Resultate an ein zentrales System. Hierbei kann es sich urn dasselbe oder ein an- 
deres zentrales System handeln. Das zentrale System 5 (oder bei Bedarf auch eine 
oder mehrere Sonden 11.1, 11.2, 11.3) analysiert und speichert die Resultate und 
veranlasst gegebenenfalls weitere Reaktionen (z.B. Alarm ausldsen). Beim erfin- 
dungsgemassen Verfahren wird ein Plugin zur Ausfuhrung gebracht, indem es fiber 
ein Netzwerk (2) an mindestens einen Computer (1 1.1, 11.2, 11.3) ubermittelt wird. 
Das Plugin veranlasst anschliessend den mindestens einen Computer (11.1, 11.2, 
11.3), das Plugin zur Ausfuhrung zu bringen. 



Durch die erfindungsgemasse Anordnung von einem oder mehreren zentralen Sy- 
stemen 5 und einer oder mehreren Sonden 11.1, 11.2, 11.3 kann an unterschiedlich 
(geografischen) Orten im Intranet oder Internet getestet werden, ob z.B. ein zu fiber- 
wachendes Zielsystem/Server 4 erreichbar und/oder funktionsfahig ist oder ob es 
gewisse Eigenschaften hat oder ob eine lokale Eigenschaft bei einer Sonde vorhan- 
den und ggf. funktionsfahig ist. Beispielsweise wird ein Web-Server von mehreren 
Sonden aus uberpriift. Dabei wird insbesondere getestet, ob der Webserver von den 
einzelnen Sonden her, also von unterschiedlichen geografischen Punkten aus, er- 
reichbar ist. Ist der Webserver erreichbar, so wird z.B. auch der Jtohalt" des Web- 
Servers getestet werden (Verhalten auf HTTP-Requests). Ebenfalls wird bei Bedarf 
ein Lasttest durchgefuhrt werden. Wesentlich ist, dass der Server nicht nur von ei- 
nem Punkt aus, sondern von vielen uberwacht wird. 
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Die beschriebene erfindungsgemasse Systemarchitektur, bei der von mehreren, ort- 
lich getrennten Punkten aus operiert wird, erganzt mit erfindungsgemassen Plugins, 
die auf Sonden ausgefiihrt werden, ergibt ein universelles Testsystem, dass fast jeden 
erdenklichen Test in einem Intranet bzw. im Internet ausfuhren kann, ohne dass fur 
unterschiedliche Tests die ganze System-Architektur wieder neu programmiert oder 
erganzt werden muss. Es genugt in der Regel, dass ein neues erfindungsgemasses 
Plugin typischerweise automatisch mittels einem erfindungsgemassen Recorder er- 
zeugt wird und in einer Datenbank eines des zentralen Systems gespeichert wird. 
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PATENTANSPRUCHE 

1. Verfahren um ein Plugin zur Ausfuhrung zu bringen, dadurch gekennzeich- 
net, dass das Plugin uber ein Netzwerk (2) an mindestens einen Computer 
(11.1, 11.2, 11.3) ubermittelt wird und dass dieses Plugin anschliessend den 
mindestens einen Computer (11.1, 11.2, 11.3) veranlasst, das Plugin zur Aus- 
fuhrung zu bringen. 

2. Verfahren gemass Patentanspruch 1, dadurch gekennzeichnet, dass das Plu- 
gin aus einer Datenbank von vielen Plugins entnommen wird. 

3. Verfahren gemass einem der vorangehenden Patentanspriiche, dadurch ge- 
kennzeichnet, dass das Plugin automatisch mittels einer interaktiven Surfses- 
sion generiert wird. 

4. Verfahren gemass einem der vorangehenden Patentanspriiche, dadurch ge- 
kennzeichnet, dass das Plugin an mehrere, ortlich getrennte Computer (11.1, 
11.2, 11.3) ubermittelt wird und dass das Plugin diese Computer (11.1, 11.2, 
11.3) veranlasst das Plugin gleichzeitig oder ungleichzeitig zur Ausfuhrung zu 
bringen. 

5. Verfahren gemass einem der vorangehenden Patentanspriiche, dadurch ge- 
kennzeichnet, dass das auf dem mindestens einen Computer (11.1, 11.2, 11.3) 
zur Ausfuhrung gebrachte Plugin den mindestens einen Computer (11.1, 11.2, 
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11.3) veranlasst Daten an einen weiteren iiber ein Netzwerk (2) verbundenen 
Computer (4) zu Uberwachungszwecken zu ubermitteln. 

Verfahren gemass Patentanspruch 5, dadurch gekennzeichnet, dass der weite- 
re iiber ein Netzwerk (2) verbundene Computer (4) veranlasst wird Daten an 
einen Computer (11.1, 11.2, 1 1.3) zu ubermitteln. 

Computerprogramm beinhaltend Computerprogrammcode, dadurch gekenn- 
zeichnet, dass es geeignet ist mindestens einen Computer (1 1.1, 1 1.2, 1 1.3) da- 
zu zu veranlassen die Schritte des Verfahrens gemass einem der Patentanspru- 
che 1 bis 6 auszufuhren. 

Computerlesbares Medium beinhaltend Computerprogrammcode, dadurch 
gekennzeichnet, dass es geeignet ist mindestens einen Computer (11.1, 11.2, 
11.3) dazu zu veranlassen die Schritte des Verfahrens gemass einenfder Pa- 
tentanspriiche 1 bis 6 auszufuhren. 
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ZUSAMMENFASSUNG 



Die Erfindung betrifft ein Verfahren um ein Plugin auf einem oder mehreren Com- 
puter, insb. zu Uberwachungszwecken, zur Ausfuhrung zu bringen. Das Plugin wird 
uber ein Netzwerk (2) an mindestens einen Computer (11.1, 11.2, 11.3) ubermittelt. 
Anschliessend veranlasst das Plugin den mindestens einen Computer (11.1, 11.2, 
1 1 .3), dieses zur Ausfuhrung zu bringen. 



(Figur 1) 
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